Linkedin Instagram Youtube Twitter
Entre em Contato
Contato

Política de segurança da informação, classificação e mapeamento de dados. A TI e seus desafios

7 de dezembro de 2020

Como você sabe, o escritório Assis e Mendes tem entre suas especialidades a Conformidade com a LGPD e Direito dos Titulares:

Nós auxiliamos sua empresa na conformidade com a Lei Gera de Proteção de Dados focando das bases legais para o tratamento de dados, revisão dos contratos e cumprimento do Direito dos Titulares. Mas sabemos que nosso trabalho cobre a parte jurídica da conformidade com a lei.

Para a parte tecnológica, contamos com parceiros especializados em Segurança da Informação para atender nossos clientes desde o assessment até a implantação de ferramentas que auxiliem na execução de tarefas, gestão de privacidade e segurança dos dados.

Por isso, conversamos com o especialista Marcos Freitas, Diretor de Delivery e Auditor Líder do nosso principal parceiro, a Leadcomm Performance&Security, para te ajudar a entender quais os primeiros passos que a empresa deve fazer no atendimento ao que rege a LGPD, a importância de ter uma política de segurança da informação e de adotar os processos derivados dela para que você possa cuidar de forma efetiva do seu negócio.

  1. Marcos, é bastante comum ouvir que é importante ter políticas de segurança. Mas, de fato, para podermos entender bem e de forma objetiva, o que são políticas ou política de segurança? E por que as empresas devem se preocupar com isso?

As políticas de segurança são importantes, pois elas estabelecem nas organizações as diretrizes para que todos os envolvidos, dentro de suas funções e habilidades, possam ter responsabilidade com relação ao uso das informações dentro da empresa, como transferência, armazenamento e uso – quem pode acessá-la, quem não pode. Essa é a parte mais importante. A informação é um bem muito preciso e as políticas garantem a proteção e uso correto dos dados. Ainda mais hoje, com a questão da LGPD, essas regras passam a ser ainda mais importante, porque agora existe uma lei que estabelece o direito do titular dos dados e pode acarretar multas às empresas quando há o mau uso dos dados pessoais e sensíveis.

  • Quais são os principais desafios encontrados para se desenhar e implementar uma política de segurança?

Eu diria que, mesmo hoje, as empresas no Brasil são pouco maduras no quesito segurança. Os riscos normalmente são muito negligenciados. Através da consultoria LGPD que realizamos pela Leadcomm, conseguimos ver que há um despreparo de grandes organizações para poder atender toda e qualquer legislação que trate da segurança de dados. Enxergamos uma distância entre a realidade e o que de fato se deseja nessa área. Por mais que esse seja um tema tratado há, pelo menos, mais de três décadas de forma intensa, a gente percebe pouca evolução nas grandes empresas (e nas demais também).

Outra questão importante, que sempre ouvimos, é o direcionamento da gestão de segurança de uma organização para e somente à área de TI (tecnologia da informação) quando, na verdade, a segurança é um tema corporativo e deve ser tratada como tal. Além do mais, muitas informações estão fora da alçada da TI.   

  • Classificação de dados – o que é isso?

Quando a gente fala de política de segurança e das boas práticas para o trato das informações, é importante entender que os dados não possuem os mesmos graus de importância. Dentro de uma organização, encontramos vários grupos de informações – desde as pouco importantes até as estratégicas. O desafio é rotular todas mediante esse fator.

A classificação de dados é o rótulo que se dá a determinadas informações – a pública, a confidencial, a restrita – e a partir dessa classificação estabelece-se controles de armazenamento, transferência, trocas, forma de descarte, etc.

  • Fala-se bastante da importância de classificar os dados sensíveis dentro de uma empresa. É algo que pode ser feito internamente?

O grande desafio de classificar dados internamente é que é pouco provável que a empresa tenha um profissional dedicado a isso e que consiga compreender, por exemplo, a LGPD, que é muito ampla. Isso se dá pela negligência que ocorre há muito tempo por parte das empresas em relação à segurança e pela defasagem de profissionais no mercado.

As empresas enfrentam dificuldades em encontrar profissionais da área de segurança, agravado pela entrada da LGPD, e esse são especializados e focados na TI – que é apenas uma das camadas da segurança.

É preciso ter visão do negócio.

Com isso, é mais fácil buscar por parceiros/terceiros com expertise, profissionais qualificados e competência para entregar o trabalho. Assim, a empresa também pode continuar focada no seu negócio (core business). 

  • Existe uma forma ideal para mapear dados? Aliás, qual é a diferença entre classificar dados e mapear dados?

O mapeamento é o entendimento de onde estão os dados captados, utilizados e armazenados pela empresa e como são utilizados cada tipo de dado (classificados conforme explicado anteriormente). Por exemplo: a LGPD trata dados pessoais e sensíveis. O mapeamento irá determinar quais as áreas da empresa que recebem, tratam e armazenam esses dados e de que forma o fazem.

Para mapear, é necessário conhecer todos os processos de todos os setores da empresa, para identificar onde existem dados pessoais, quais são esses dados, de quem, como são tratados e onde ficam armazenados.

A classificação é o rótulo que ajudará a determinar qual a política que será seguida para aquele dado mapeado.

  • O mapeamento de dados e as políticas de segurança são questões de responsabilidade exclusiva da área de TI?

Não. A segurança da informação é um problema corporativo, deve ser tratada como tal e ser parte da estratégia de negócio da organização. É claro que a TI tem muita relação com a segurança, principalmente porque falamos de infraestrutura, sistemas, monitoramento, suporte, análises, etc. Mas tudo isso deve estar alinhado à uma política geral de segurança.

  • Para finalizar:

O tema segurança é bastante antigo, o ponto é que deixamos a política de segurança da informação como algo mais prático do que teórico. Encontramos muitas empresas com políticas escritas, mas muito distante daquilo que é possível ser executado na prática – muitas vezes as empresas possuem diretrizes e documentos escritos, mas são coisas muito distantes do que podem executar. A política de SI tem que retratar algo que seja próximo ao dia a dia da empresa, caso contrário, será mais um documento que vai ficar parado na gaveta.

Muitas vezes, empresas copiam políticas uma das outras, mas na prática, o que foi copiado não é possível de se aplicar no dia a dia porque está muito longe da realidade e dos aspectos culturais da empresa. 

Criar uma política de SI própria para sua empresa é, além de um investimento, uma forma de garantia de que processos serão realizados da forma correta e um seguro para que sansões não sejam aplicadas por uso incorreto de dados e informações.

Caso queira mais informações sobre Políticas de Segurança de Informações, Consultoria LGPD ou soluções de Segurança de Dados, entre em contato com a Leadcomm: www.leadcomm.com.br/contato/

Compartilhe:

Mais Artigos

Desafios da Inadimplência: Estratégias e Alternativas à Judicialização

Descubra estratégias eficazes para lidar com a inadimplência de clientes sem recorrer imediatamente à judicialização. Este artigo explora alternativas viáveis, como o diálogo proativo, negociação amigável, formalização da cobrança e opções de resolução extrajudicial, visando preservar o relacionamento comercial e minimizar os impactos financeiros para sua empresa.

O que fazer se uma réplica do meu produto estiver sendo vendida em Marketplaces?

Marketplaces se tornaram essenciais no comércio online, mas também apresentam desafios, como a venda de produtos falsificados. Este artigo fornece orientações para lidar com réplicas ou falsificações de produtos em marketplaces, incluindo como identificar, denunciar e tomar medidas legais contra os infratores. Consultar um advogado e utilizar plataformas de proteção de marca são passos essenciais para proteger a reputação da marca e a integridade do mercado.

Uso da inteligência artificial e os impactos nas eleições de 2024. Você, candidato, está preparado?

O Tribunal Superior Eleitoral (TSE) aprovou novas regras para as eleições de 2024, incluindo regulamentações sobre o uso de Inteligência Artificial (IA). Candidatos devem estar preparados para usar a IA de maneira eficiente, seguindo as regras estabelecidas. A IA tem sido uma tendência global há décadas e sua regulamentação visa garantir a integridade do processo eleitoral, especialmente diante da disseminação de desinformação. O TSE proíbe o uso de chatbots para simular conversas com candidatos, deepfakes e exige que conteúdos gerados por IA sejam rotulados. As plataformas de mídia social também estão sujeitas a novas regras para promover transparência e combater a desinformação.

Quais as principais cláusulas em um Contrato de Licenciamento de Software?

Os contratos de licenciamento de software estabelecem as responsabilidades entre as partes envolvidas na utilização de um software, incluindo o direito de uso e serviços adicionais como suporte técnico e atualizações. Este artigo explora cláusulas essenciais desses contratos, como objeto, propriedade intelectual, suporte técnico, nível de disponibilidade, limitação de responsabilidade e isenção em casos de ataques hackers. Essas cláusulas são fundamentais para garantir uma negociação transparente, resolver disputas e proteger os interesses das partes envolvidas.

Vesting vs. Stock Option: Definições e Diferenças que você precisa conhecer

Descubra as definições e diferenças cruciais entre Vesting e Stock Option no contexto empresarial e de tecnologia. Este artigo explora os requisitos, aplicabilidade e implicações legais de cada método de incentivo de remuneração, ajudando você a decidir o melhor para sua empresa

Contratação de Software e Serviços em Nuvem para Órgãos Públicos: O que mudou e como se preparar

Uma nova portaria estabelece um modelo obrigatório de contratação de software e serviços em nuvem para órgãos do Poder Executivo Federal, visando garantir segurança da informação e proteção de dados. A partir de abril de 2024, os órgãos públicos deverão adotar esse modelo, que inclui critérios de avaliação, formas de remuneração e níveis de serviço. Fabricantes de tecnologia devem atender a requisitos como segurança de dados, flexibilidade de pagamento e indicadores de serviço.

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!
Fale conosco

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.

Soluções jurídicas para a sua conexão com o mundo digital.
NewsLetter

Assine nossa Newsletter gratuitamente. 

Áreas de atuação
Contato
Linkedin Instagram Youtube Twitter
© 2023 – Assis e Mendes Direito digital, Empresarial e Proteção de dados